Kültür, güvenlik başarısı için bir katalizördür. Siber güvenlik risklerini önemli ölçüde azaltabilir ve herhangi bir organizasyonun siber güvenlik dayanıklılığını artırabilir. Kültür ayrıca siber güvenlik işlevinin algılanan değerini, alaka düzeyini ve itibarını büyük ölçüde artırabilir.
Peki güvenlik liderleri siber güvenlik için olumlu bir marka ve kültür nasıl geliştirebilir? Aşağıda bazı öneriler ve en iyi uygulamalar listelenmiştir:
1. Mevcut kültürü ve bağlamı anlayın
İş gücünün teknoloji ve güvenlik konusunda neden belirli bir şekilde davrandığını anlamak için, hakim kültürel bağlamı anlamak önemlidir. Örneğin, herhangi bir bölgesel kültürel farklılık, belirli endüstri sektörü, altta yatan şirket yapısı, güvenlik normları hakkında farkındalık ve bilgi eksikliği ve çatışan iş öncelikleri, ekip kültüründe ve güvenlik davranışlarında planlanan herhangi bir değişikliği etkileyebilir.
2. Kültürün gelişmesi için doğru tonu belirleyin
Geleneksel olarak, güvenlik işlevi “hayır” departmanı olarak algılanmıştır. Bu nedenle, güvenlik ekibinin birincil hedefi, güvenlik işlevine ilişkin bu kurallara bağlı, esnek olmayan, otokratik algıyı açık, şeffaf, pozitif, yaratıcı ve işbirlikçi bir algıyla değiştirmek olmalıdır. “Hayır” demekten “Evet, bunu daha güvenli bir şekilde nasıl yapacağınızı açıklayayım”a geçin. Tehditler değil, vaatler verin.
3. Net hedefler ve istekler belirleyin
Güvenlik kültürü değişikliği için tasarım planının bir parçası olarak, güvenlik lideri ekibin başarmaya çalıştığı şey için net hedefler belirlemeli, kültürün ekibin etkinliğini nasıl vurguladığı ve değişikliği yapmanın önemi hakkında konuşmalarla desteklenmelidir. Ekibe net bir amaç duygusu verilmelidir; neden burada oldukları, ne yapmaları gerektiği ve nasıl davranmaları ve algılanmaları gerektiği konusunda netlik sağlanmalıdır.
4. Taze fikirleri ve yenilikçi yaklaşımları keşfedin
Siber güvenlik liderleri ekiplerini yeni yaklaşımlar ve yeni fikirler keşfetmeye teşvik etmeli; geleneklere, protokollere ve tarihi önceliğe daha az bağlı olmalı, etkili ilişkiler kurma ve iş değerini artırma çıkarları doğrultusunda kurumsal ihtiyaçları kendi kişisel gündemlerinin önüne koymalıdır. Pozitif ve stratejik düşünüp hareket etmeli, güvenliğin stratejiyi nasıl destekleyebileceğini, gelirleri nasıl artırabileceğini ve karlılığı nasıl koruyabileceğini göstermelidir.
5. Etki alanınıza odaklanın
Güvenlik liderinin kurumsal kültürü değiştirme yeteneği sınırlı olsa da (kesinlikle kısa vadede), ekibin kendi kültürünü değiştirmek ve bu değişimin faydalarını göstermek çok şey kazandırır. Kişisel etkinin en yüksek olduğu yerlere odaklanarak başlayın. Değişim etkiliyse, bu etkiler fark edilir ve diğerleri de bunu taklit etmeye ve öncülüğü takip etmeye başlayabilir.
6. Kültür değişimi için markalama prensiplerinden yararlanın
Olumlu bir kültür, güçlü bir markanın uygulanmasıyla işletme genelinde en iyi şekilde iletilir ve bu, herhangi bir kültür değişikliği stratejisinin odak noktası olmalıdır. Başka bir deyişle, bir pazarlamacı gibi düşünün ve hareket edin: Biraz hedef kitle analizi yapın; güvenlik kavramlarını hedef kitlenizin anlayacağı bir dilde iletin; siber güvenliği daha ilişkilendirilebilir hale getirin; kullanıcıları dahil edin ve tıpkı bir ürünü veya hizmeti tanıtacağınız gibi pazarlama mesajları, kampanyaları ve etkileyicileri kullanarak güvenlik programlarını tanıtın.
7. İşletmenin ayakkabılarında yürümeyi öğrenin
İş meraklısı olun ve işletmenin veya çalışanın başarmaya çalıştığı şey hakkında araştırıcı sorular sorun. Siber güvenlik stratejilerini aktif olarak desteklemek ve işletme amacına uyumlu hale getirmek de dahil olmak üzere bir büyüme zihniyetine sahip olun. Çalışanlar ve paydaşlarla birlikte güvenlik stratejileri planlayın ve uygulayın, çünkü bu danışma davranışı olarak ortaya çıkar ve daha potansiyel olarak yapıcı ve değerli konuşmalara kapılar açar.
8. Yumuşak becerileri geliştirin
Kişisel stil ve yaklaşımı değiştirmek (aktif bir dinleyici olmak, duygusal zekayı artırmak, daha şeffaf olmak gibi) çalışan algılarını değiştirebilir ve daha güvenilir, üretken ve işbirlikçi ilişkiler kurabilir. Hikaye anlatma sanatını uygulamak, dili basitleştirmek ve izleyiciyle yankı uyandıran anlatılar oluşturmak, güvenlik ekiplerinin çalışanlarla daha duygusal ve insani bir düzeyde bağlantı kurmasına yardımcı olabilir.
9. Güvenlik değişikliklerini etkili bir şekilde gerekçelendirin
Güvenliğin tasarım gereği sürtüşme yarattığını hatırlamak önemlidir. Bir ofise girmek için erişim kartlarının veya bir iş istasyonuna giriş yapmak için kimlik bilgilerinin kullanılması gerekmeseydi, çalışanlar verilere daha hızlı erişebilirdi – ancak herkes de erişebilirdi. Bu basit bir argüman gibi görünse de, iletişim ve açıklamanın önemini unutmak kolaydır. Güvenlik liderleri, herhangi bir değişikliğin neden önerildiğine dair açık ve öz bir açıklamanın olduğundan ve çalışanlara soru sorma ve tatmin edici yanıtlar alma fırsatı verildiğinden emin olmalıdır. Bu, güven ve şeffaflık kültürünü teşvik eder.
10. Güvenlik yerine risk dilini benimseyin
Risk dili, güvenlik dilinden daha ilişkilendirilebilir olabilir. Bunun nedeni, riskin tamamen işletmeyle ilgili olması ve genellikle bir kavram olarak anlaşılmasıdır. Paydaş hazır olduğunda konuşma, zorlama bir konuşma olmaktan ziyade daha çok bir güvenlik diline kayabilir.
İnsan faktörü siber riske en büyük katkıda bulunan faktördür ve muhtemelen kontrol edilmesi, hafifletilmesi veya “evcilleştirilmesi” en zor olanıdır. Güvenlik teknolojileri ve kontrolleri kesinlikle önemlidir ancak her şeyden önce kültür, güvenlik liderlerinin aktif olarak odaklanmaya başlaması gereken eksik veya yeterince temsil edilmeyen bir parçadır. Çalışanlara etki sahibiymiş gibi davranın ve öyle yapacaklardır.